Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

BlackMatterへの政治圧力

海外の主要ニュース・ブログサイトは、BlackMatterがシャットダウン(オフライン化)しそうだと一斉に報じています。

securityaffairs.co

BlackMatterランサムウェアグループは、それが原因地元当局からの圧力にその動作を停止していると発表しました。

この発表は、ギャングの関連会社のネットワークが使用するグループが運営するRansomware-as-a-Serviceポータルで公開されました。

サイバーセキュリティグループvx-undergroundは、メッセージの画像とその翻訳版を英語で公開しました。

 

キタきつねの所感

BlackMatterはバイデン大統領がプーチン大統領に直接”取締り強化”を6が月の直接会談で申し入れした原因となった、Colonial Pipeline社や、食肉加工のJBSの操業停止を引き起こしたと言われるランサムグループDarkSideのリブランドと言われています。

 

参考:

ランサムウェア攻撃でパイプラインが操業停止した事件は、不透明な「責任の所在」という問題も浮き彫りにした | WIRED.jp

世界最大級の食肉加工メーカーJBSにサイバー攻撃でライン停止 ロシア関与と米連邦政府 - ITmedia NEWS

バイデン氏との会談「建設的」 プーチン氏、サイバー安保など協議で合意 写真5枚 国際ニュース:AFPBB News

 

DarkSideが活動停止(オフライン)になったのが5月中旬、リブランドのBlackMatterは7月頃に活動開始が観測されていますので、今回の近々にオフライン化するだろうとの報道が正しければ、約4か月と非常に短い期間で活動を停止する事になりそうです。

 

海外記事を見てBlackMatterのリークサイト(DarkWeb上)を本日見に行ってきたのですが、普通にリークサイトは稼働していました。

f:id:foxcafelate:20211104103710j:plain

 

では何故オフライン化の動きが分かったかと言うと、Twitter上でvx-undergroundの情報セキュリティグループのメンバーが、RaaSのバックエンドに投稿されていた(BlackMatter運営側の)メッセージを公開した為でした。

 当局からの圧力に関連する特定の解決できない状況のため(最新のニュースの後、チームの一部は利用できなくなりました)–プロジェクトは終了しました。48時間後、インフラストラクチャ全体がオフになり、次のことが許可されます。

-さらなる通信のために企業にメールを発行する。
-復号化機能を取得します。この書き込みでは、必要な場所で会社のチャット内に「復号化機能を提供」します。

皆様のご成功をお祈りしております。 

 

BlackMatterの閉鎖決定の背景事情に関して、いくつかの推測がされています。

グループは、閉鎖の決定につながった「最新のニュース」について説明しなかったが、彼らの発表は、過去2週間に起こった3つの主要なイベントの後に行われた。

これらの最初のものは、DarksideおよびBlackMatter株の作成者と見なされているFIN7サイバー犯罪グループをBastion Secureという名前の公的サイバーセキュリティ会社にリンクしたMicrosoftおよびGeminiAdvisoryからのレポートであり、 これを通じて無意識の協力者を募集したとされています。

2つ目は、セキュリティEmsisoftがBlackMatterランサムウェア株の復号化ユーティリティを密かに開発したという事実です。BlackMatterランサムウェア株は、被害者がグループの身代金要求を支払うことを回避するために密かに提供しており、利益に打撃を与えています。

3つ目は、 今週 日曜日のニューヨークタイムズからのレポートで、米国とロシアが、とりわけロシアを拠点とするサイバー犯罪やランサムウェアギャングの取り締まりを目的とした緊密な協力関係を開始したことを発表しました。FIN7グループは歴史的にロシア国外で活動していると信じられてきたため、これは重要です。

The Record.記事より引用)※機械翻訳

 

1番目はFIN7が一見正当な会社を装ってペンテスターを募集していたと報じられていた件かと思います。 ⇒ 参考記事

2番目は、(9月末までに被害を受けた企業に対する)復号ツールがEmisoftからリリースされた事です。 ⇒ 参考記事

3番目は、日本ではほとんど報じられていませんが、CIA長官がプーチン大統領側近と会談した様なので、この会談の成果を指している様です。 ⇒ 参考記事

米CIA長官 プーチン大統領側近と会談|日テレNEWS24

 

 

「最新ニュース」が何を指しているのかは不明ですが、行方不明のチームメンバーは 、71か国で1,800件のランサムウェア攻撃に関連する12人を逮捕した最近の国際法執行活動に関連している可能性があります 。

7月には、「不明」として知られるREvilの公開担当者も行方不明になり、REvilが 閉鎖されました。

Bleeping Computer記事より引用)※機械翻訳

 

先週Europolが発表したウクライナとスイスでランサム攻撃に関連した12人を逮捕した事を指している様です。 ⇒ 参考記事

 

ラドウェアのGeenensは、DarkSide / BlackMatterはおそらく、熱の一部を取り除くためにブランド名を変更しているだけであり、REvilのシャットダウン、ウクライナの逮捕、および「今週の日曜日のニューヨークタイムズでの米国とロシアは、ロシアを拠点とするサイバー犯罪ギャングを引き受ける」と述べた。彼は次のようにコメントしています。「彼らは、現在の業務を停止して新たなスタートを切る方が安全だと感じるかもしれません。」

The Register記事より引用)※機械翻訳

 

こちらはThe Record.と同じ、ニューヨークタイムズ紙の記事を引用しています。従来よりもロシア当局側のロシア国内にいるとされるランサムオペレータメンバーへの締め付けを強める方向という事を考えて、一度冷却期間を置くべきと考えたのではないか、という様な推測です。

 

どれも根拠になりそうな気がしますが、個人的には米国側との会談によってロシア当局が”本気”である兆候を示している点と、Emisoftの復号化ツールリリースによって、特にアフェリエイト(攻撃実行者)側のBlackMatterへの評判が落ちた事が影響した気がします。

 

Bleeping Computerは、昨日違う記事も出していて、この中で、BlackMatterが(オフライン化にあたり)競合グループでもある、Lockbitに脅迫途中の案件(ビジネス)を移しているという驚きの情報が書かれていました。

www.bleepingcomputer.com

BlackMatterのインフラストラクチャはまだ稼働していますが、BleepingCompuerは、アフィリエイトが既存の被害者をLockBit ランサムウェアネゴシエーションサイトに移動していることを知りました。

既存のBlackMatterネゴシエーションチャットでは、アフィリエイトは、新しいネゴシエーションページが設定されているLockBitのTorサイトへのリンクを被害者に提供しています。

 

LockbitにシフトするというのはBCPとしては理にかなっている面もありますが、将来的にBlackMatterが復活(リブランド)しようとする際に、有力なアフェリエイトが戻ってこない可能性も指摘されており、有力なランサムオペレータが”戦国時代”に突入している様にも思えてきます。

 

全ては米国の強い要請に対応するロシア当局の『本気度』によるかと思いますが、BlackMatterがLockbitに被害者(脅迫ビジネス)を移転する事を選択したという事は、Lockbitは”ロシア当局に逮捕されない可能性が高い”と判断していると言う見方もできるので、著名なランサムオペレータのいくつかがオフラインになって、ほとぼりが冷めた頃に、リブランドして復活するといった、春~夏にかけて見た様な流れになってしまう可能性もあるかと思います。

 

※ロシア当局の”本気度”を測る上では、ContiやLockbitといった(現在)著名なグループを活動停止に追い込めるかが今後の焦点になってくる気がします。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 同調圧力のイラスト

 

更新履歴

  • 2021年11月4日 AM